Microsoft Information Protection (MIP) SDK – nastavení a konfigurace

  • Článek
  • 9 min ke čtení

Články Rychlého startu a Kurzu se zamí ěrí kolem vytváření aplikací, které používají knihovny a rozhraní API sady MIP SDK. Tento článek ukazuje, jak nastavit a nakonfigurovat předplatné Microsoft 365 klientské pracovní stanice v rámci přípravy na používání sady SDK.

Předpoklady

Než začnete, zkontrolujte následující témata:

Důležité:

Pokud chcete respektovat ochranu osobních údajů uživatelů, musíte uživatele požádat o souhlas, než povolíte automatické protokolování. V následujícím příkladu je standardní zpráva, kterou Microsoft používá k protokolování oznámení:

Zapnutím protokolování chyb a výkonu souhlasíte s odesláním dat o chybách a výkonu společnosti Microsoft. Microsoft shromažďuje data o chybách a výkonu přes internet ("Data"). Společnost Microsoft používá tato data k poskytování a zlepšování kvality, zabezpečení a integrity produktů a služeb společnosti Microsoft. Například analyzujeme výkon a spolehlivost, jako jsou funkce, které používáte, jak rychle funkce reagují, výkon zařízení, interakce uživatelského rozhraní a všechny problémy, se které s produktem nadělíte. Data budou také obsahovat informace o konfiguraci vašeho softwaru, jako je aktuálně spuštěný software, a IP adresu.

Registrace předplatného Office 365 předplatného

Mnoho ukázek sady SDK vyžaduje přístup k předplatnému Office 365 sady SDK. Pokud jste to ještě neudělali, nezapomeňte si zaregistrovat jeden z následujících typů předplatného:

Jméno Registrace
Zkušební verze služeb Office 365 Enterprise E3 (30denní bezplatná zkušební verze) https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 Enterprise E3 nebo E5 https://products.office.com/business/office-365-enterprise-e3-business-software
Enterprise mobility a zabezpečení E3 nebo E5 https://www.microsoft.com/cloud-platform/enterprise-mobility-security
Azure Information Protection Premium P1 nebo P2 Microsoft 365 licenční pokyny pro dodržování předpisů zabezpečení
Microsoft 365 E3, E5 nebo F1 https://www.microsoft.com/microsoft-365/compare-all-microsoft-365-plans

Konfigurace popisků citlivosti

Pokud aktuálně používáte Azure Information Protection, musíte štítky migrovat do centra Office 365 zabezpečení a dodržování předpisů. Další informace o procesu najdete v tématu Jak migrovat popisky Azure Information Protection do Centra Office 365 dodržování předpisů zabezpečení.

Konfigurace klientské pracovní stanice

Potom proveďte následující kroky, abyste zajistili, že je klientský počítač správně nastavený a nakonfigurovaný.

  1. Pokud používáte pracovní Windows 10 pracovní stanice:

    Pomocí Windows Update aktualizujte počítač na Windows 10 Fall Creators Update (verze 1709) nebo novější. Ověření aktuální verze:

    • Klikněte na Windows v levém dolním rohu.
    • Zadejte "O počítači" a stiskněte klávesu Enter.
    • Posuňte se dolů na Windows specifikace a podívejte se do části Verze.

  2. Pokud používáte pracovní Windows 11 nebo Windows 10 pracovní stanice:

    Ujistěte se, že je na vaší pracovní stanici povolený režim vývojáře:

    • Klikněte na Windows v levém dolním rohu.
    • Zadejte "Používat funkce pro vývojáře" a stiskněte klávesu "Enter", až se zobrazí položka Použít funkce pro vývojáře.
    • V dialogovém Nastavenípro vývojáře vyberte v části "Použití funkcí pro vývojáře" možnost Režim vývojáře.
    • Zavřete dialogové Nastavení okno.

  3. Nainstalujte Visual Studio 2019s následujícími úlohami a volitelnými součástmi:

    • Vývoj Windows platformy Windows a následující volitelné součásti:

      • Nástroje univerzální Windows platformy C++
      • Windows 10 SDK 10.0.16299.0 SDK nebo novější, pokud není součástí výchozího nastavení

    • Vývoj desktopových aplikací s Windows C++ a následujícími volitelnými součástmi:

      • Windows 10 SDK 10.0.16299.0 SDK nebo novější, pokud není součástí výchozího nastavení

      Visual Studio nastavení

  4. Instalace ADAL.PS PowerShellu:

    • Vzhledem k tomu, že k instalaci modulů jsou vyžadována práva správce, musíte nejdřív:

      • přihlaste se k počítači pomocí účtu, který má oprávnění správce.
      • spusťte relaci Windows PowerShell se zvýšenými oprávněními (Spustit jako správce).

    • Spusťte install-module -name adal.ps rutinu:

      PS C:\WINDOWS\system32> install-module -name adal.ps

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its
InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A

PS C:\WINDOWS\system32>

  5. Stáhnout soubory:

    Sada MIP SDK je podporovaná na následujících platformách s oddělenými soubory ke stažení pro každou podporovanou platformu nebo jazyk:

    Operační systém Verze Stažené soubory Poznámky
    Ubuntu 16.04 C++ tar.gz
    Ubuntu 18.04 C++ tar.gz
    Java (Preview) tar.gz
    .NET Core NuGet (Preview)
    RedHat Enterprise Linux 7 s devtoolset-7 C++ tar.gz
    Debian 9 C++ tar.gz
    macOS High Sierra a novější C++ .zip Vývoj Xcode vyžaduje 9.4.1 nebo vyšší.
    Windows Všechny podporované verze, 32/64 bit C++/.NET Framework 4,6 .zip
    C++/.NET NuGet
    Java (Preview) .zip
    Android Verze 7.0 a novější C++ .zip Ochrana a zásady jenom pro sdk.
    iOS Všechny podporované verze C++ .zip Ochrana a zásady jenom pro sdk.

    Tar.gz/.Zip ke stažení

    Soubory tar.gz a .Zip soubory obsahují komprimované soubory, jeden pro každé rozhraní API. Komprimované soubory mají následující název, kde < API = , nebo , a OS = >fileprotectionupe<> platforma: mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz) . Například soubor binárních souborů a záhlaví sady Protection SDK v Systému Debian bude: mip_sdk_protection_debian9_1.0.0.0.tar.gz . Každý soubor .tar.gz/.zip je rozdělený do tří adresářů:

    • Přihrádky: Kompilované binární soubory pro každou architekturu platformy, kde je to k dispozici.
    • Zahrnout: Soubory záhlaví (C++).
    • Ukázky: Zdrojový kód pro ukázkové aplikace

    NuGet balíčky

    Pokud děláte vývoj Visual Studio, můžete sadu SDK nainstalovat taky pomocí NuGet Správce balíčků Console:

    Install-Package Microsoft.InformationProtection.File
Install-Package Microsoft.InformationProtection.Policy
Install-Package Microsoft.InformationProtection.Protection

  6. Pokud balíček NuGet, přidejte cesty binárních souborů sady SDK do proměnné prostředí PATH. Proměnná PATH umožňuje, aby se závislé binární soubory (KNIHOVNY DLL) našly za běhu klientskými aplikacemi (NEPOVINNÉ):

    Pokud používáte pracovní Windows 11 nebo Windows 10 pracovní stanice:

    • Klikněte na Windows v levém dolním rohu.

    • Zadejte "Cesta" a stiskněte klávesu "Enter", až se zobrazí položka Upravit systémové proměnné prostředí.

    • V dialogovém okně Vlastnosti systému klikněte na Proměnné prostředí.

    • V dialogovém okně Proměnné prostředí klikněte na řádek proměnné Path v části Uživatelské proměnné pro uživatele a potom klikněte na Upravit....

    • V dialogovém okně Upravit proměnnou prostředí klikněte na Nový,který vytvoří nový upravitelný řádek. Pomocí úplné cesty ke každému z podadresářů a podadresářů přidejte file\bins\debug\amd64 nový řádek pro každý z protection\bins\debug\amd64upe\bins\debug\amd64 nich. Adresáře sady SDK jsou uložené ve <API>\bins\<target>\<platform> formátu, ve kterém:

      • <API > = file , protection , upe
      • <target > = debug , release
      • <platform > = amd64 (x64), x86 atd.

    • Po dokončení aktualizace proměnné Path klikněte na OK. Po návratu do dialogového okna Proměnné prostředí klikněte na OK.

  7. Stažení ukázek sady SDK z GitHub (VOLITELNÉ):

Registrace klientské aplikace pomocí Azure Active Directory

V rámci procesu zřizování Microsoft 365 předplatného se vytvoří přidružený Azure Active Directory (Azure AD). Tenant Azure AD poskytuje správu identit a přístupu pro Microsoft 365 uživatelské účty a účty aplikací. Aplikace, které vyžadují přístup k zabezpečeným rozhraním API (například rozhraní MIP API), vyžadují účet aplikace.

Pro ověřování a autorizaci za běhu jsou účty reprezentované hlavním objektem zabezpečení, který je odvozený z informací o identitě účtu. Objekty zabezpečení, které představují účet aplikace, se označují jako hlavní objekt služby.

Registrace účtu aplikace v Azure AD pro použití s ukázkami Quickstarts a MIP SDK:

Důležité:

Pokud chcete získat přístup ke správě tenantů Azure AD pro vytváření účtů, budete se muset přihlásit k portálu Azure portal pomocí uživatelského účtu, který je členem role "Vlastník"v předplatném . V závislosti na konfiguraci vašeho tenanta může být také potřeba být členem role adresáře Globální správce, aby se zaregistroval aplikace. Doporučujeme testovat s omezeným účtem. Ujistěte se, že účet má jenom práva pro přístup k potřebným koncovým bodům SCC. Hesla ve formátu prostého textu předaná prostřednictvím příkazového řádku mohou být shromažďována systémy protokolování.

  1. Postupujte podle pokynů v části Registrace aplikace ve službě Azure AD a zaregistrujte novou aplikaci. Pro účely testování použijte následující hodnoty pro dané vlastnosti při provádění pokynů průvodce:

    • Podporované typy účtů – vyberte "Pouze účty v tomto adresáři organizace".
    • Identifikátor URI přesměrování – Nastavte typ identifikátoru URI přesměrování na "Veřejný klient (mobilní počítač)." Pokud vaše aplikace používá knihovnu msal (Microsoft Authentication Library), použijte http://localhost . V opačném případě použijte něco ve formátu <app-name>://authorize .

  2. Po dokončení se vrátíte na stránku Registrovaná aplikace pro vaši novou registraci aplikace. Zkopírujte a uložte identifikátor GUID do pole ID aplikace (klienta), jak ho budete potřebovat pro rychlé starty.

  3. Potom klikněte na Oprávnění rozhraní API a přidejte rozhraní API a oprávnění, ke kterým bude klient potřebovat přístup. Kliknutím na Přidat oprávnění otevřete okno Požádat o oprávnění rozhraní API.

  4. Teď přidáte rozhraní API mip a oprávnění, která aplikace bude vyžadovat za běhu:

    • Na stránce Vybrat rozhraní API klikněte na Azure Rights Management Services.
    • Na stránce Azure Rights Management Services API klikněte na Delegovaná oprávnění.
    • V části Vybrat oprávnění zkontrolujte oprávnění user_impersonation oprávnění. Toto právo umožňuje aplikaci vytvářet a přistupovat k chráněnému obsahu jménem uživatele.
    • Kliknutím na Přidat oprávnění uložte.

  5. Opakujte krok #4, ale tentokrát, když se dostanete na stránku Vybrat rozhraní API, budete muset rozhraní API vyhledat.

    • Na stránce Vyberte rozhraní API klikněte na Rozhraní API, která používá moje organizace, a pak do vyhledávacího pole zadejte "Microsoft Information Protection Synchronizačníslužba " a vyberte ji.
    • Na stránce Microsoft Information Protection Rozhraní API synchronizační služby klikněte na Delegovaná oprávnění.
    • Rozbalte uzel UnifiedPolicy a zkontrolujte UnifiedPolicy.User.Read.
    • Kliknutím na Přidat oprávnění uložte.

  6. Až se vrátíte na stránku oprávnění rozhraní API, klikněte na Udělit souhlas správce pro (název tenanta)a potom na Ano. Tento krok dává aplikaci předem souhlas s použitím této registrace pro přístup k rozhraním API pod zadanými oprávněními. Pokud jste se přihlásili jako globální správce, zaznamená se souhlas pro všechny uživatele v tenantovi, který aplikaci spouštěl. v opačném případě platí jenom pro váš uživatelský účet.

Po dokončení by měla registrace aplikací a oprávnění rozhraní API vypadat podobně jako v následujících příkladech:

Oprávnění rozhraní API aplikace Azure ADpro registraci aplikací AzureAD

Další informace o přidávání rozhraní API a oprávnění k registraci najdete v tématu Konfigurace klientské aplikace pro přístup k webovým rozhraním API. Tady najdete informace o přidávání rozhraní API a oprávnění potřebných klientskou aplikací.

Žádost o dohodu o integraci ochrany informací (IPIA)

Než budete moci pro veřejnost vydat aplikaci vyvinutou pomocí programu MIP, musíte požádat o formální dohodu s Microsoftem a vyplnit ji.

Poznámka:

Tato smlouva není povinná pro aplikace, které jsou určené jenom pro interní použití.

  1. Získejte IPIA tak, že pošlete e-mail IPIA@microsoft.com s následujícími informacemi:

    Předmět: Vyžádání IPIA pro název společnosti

    V textu e-mailu můžete zahrnout:

    • Název aplikace a produktu
    • Jméno a příjmení žádajíce
    • E-mailová adresa žádajíce

  2. Po obdržení vaší žádosti o IPIA vám pošleme formulář (jako wordový dokument). Zkontrolujte podmínky IPIA a vraťte formulář s IPIA@microsoft.com následujícími informacemi:

    • Právní název společnosti
    • Stát/provincie (USA/Kanada) nebo země začlenění
    • Adresa URL společnosti
    • E-mailová adresa kontaktní osoby
    • Další adresy společnosti (nepovinné)
    • Název aplikace Společnosti
    • Stručný popis aplikace
    • ID tenanta Azure
    • ID aplikace pro aplikaci
    • Kontakty společnosti, e-mail a telefon pro korespondenci kritické situace

  3. Až obdržíme váš formulář, pošleme vám konečný odkaz IPIA na digitální podepsání. Po podpisu bude podepsán příslušným zástupcem Microsoftu, který smlouvu dokončí.

Už máte podepsanou IPIA?

Pokud už máte podepsanou IPIA a chcete přidat nové ID aplikace pro aplikaci, kterou vydáváte, pošlete nám e-mail a dejte nám následující informace:

  • Název aplikace Společnosti
  • Stručný popis aplikace
  • ID tenanta Azure (i když je to stejné jako dřív)
  • ID aplikace pro aplikaci
  • Kontakty společnosti, e-mail a telefon pro korespondenci kritické situace

Po odeslání e-mailu povolte potvrzení potvrzení o potvrzení až 72 hodin.

Zajistěte, aby vaše aplikace měla požadovaný modul runtime.

Poznámka:

Tento krok je nutný jenom v případě, že nasazení aplikace do počítače bez Visual Studio nebo pokud instalace Visual Studio chybí součásti Visual C++ Runtime.

Aplikace vytvořené pomocí sady MIP SDK vyžadují instalaci modulu runtime Visual C++ 2015 nebo Visual C++ 2017, pokud ještě nejsou k dispozici.

Tyto funkce budou fungovat jenom v případě, že je aplikace vytvořená jako verze. Pokud je aplikace vytvořená jako ladění, musí být knihovny DLL ladění visual C++ runtime součástí aplikace nebo musí být nainstalované na počítači.

Další kroky

  • Pokud jste vývojář C++
    • Před zahájením oddílu Rychlý start si přečtěte koncepty Observers, abyste se dozvěděli o asynchronní povaze rozhraní API jazyka C++.
    • Až budete připravení získat zkušenosti se sadou SDK, začněte s rychlým startem: Inicializace klientské aplikace (C++).
  • Pokud jste vývojář C#, až budete chtít získat zkušenosti se sadou SDK, začněte s rychlým startem: Inicializace klientské aplikace (C#).